李丽

摘要：会计内部控制工作对于企业发展而言具有十分重要的作用，在新的经济社会背景下，有必要将战略控制思维加以融入，基于治理、风险与遵循（GRC）三大模块开展相关工作。在这种背景下，本文首先概述了战略控制思维，进而分别分析了GRC背景下构思、筹划并引领回复企业生机与GRC背景下内部控制工作的开展。

关键词：会计内部控制 工作 创新 战略控制 GRC

一、战略控制思维

战略风险含在COSO ERM的第4个组成要素——风险评估中，但是常被忽略。因为战略风险问题是股东价值大幅滑落的主导原因，因此，应将战略风险控制纳入内部控制计划中。就COSO ERM“战略与目标设定”组成要素而言，企业应以笼统的语词设定使命或愿景，再根据其渴望达成之事项设定目标，而战略目标是属于高层级的目标，应支持企业的使命并与其一致。至于战略，其是一项行动计划，设计用来达成特定的企业目标，是与如何达成目标有关。战略的层级可分为：公司战略、业务单位战略、功能性战略与营运战略。战略控制可能系对战略管理的任一项要素（包括：目标、设定战略、规划、执行、评核）进行控制。战略控制的范围应涵盖所有层级，自企业整体、功能性单位、地区、业务单位，乃至于流程。以AXA Equitable Life 为例，战略控制是：战略性专案的事前复核；战略性项目的事后复核；核心业务中所选定战略流程的事后复核。；根据高层管理人员的请求对战略性决策的事前营运复核；业务的绩效或标杆复核。

二、GRC背景下构思、筹划并引领回复企业生机

治理、风险与遵循（Governance， Risk and Compliance，简称GRC）是：从了解战略目标、使命与经营模式开始；对监督功能作全面性的审视；从各种监督功能集结与风险有关的信息；考虑的范围包含人、流程与技术。GRC不是：并非仅为一项技术方案，而常包含赋予技术能力；并非仅为企业风险管理的另一个名称；并未消除对现存功能的需要，如遵循；并非仅为概念性的。

目前存在许多公司中的GRC以及保证性功能常无法协调一致，以至于未必能达成其维护公司营运，进而改善整体效率与绩效的核心目标。依据KPMG的调查报告显示，在GRC汇合（GRC Convergence）方面，使机构有兴趣的影响因素（驱动因子）包括：整体经营的复杂性（44%）、想要降低机构的风险（37%）、想要改善公司的绩效（32%）、对避免道德与声誉丑闻的关心（32%）等，而无兴趣者则仅有1%。KPMG的GRC整体模式设计，提供一个清楚的架构，将风险管理及遵循活动与治理、机构文化、保证及报表连结。第一个步骤就是要将GRC与机构的使命结合，然后将其转化为战略目标，包括下列：战略：我们想要达成什么？价值：我们象征什么？经营模式：我们如何组织？价值趋动：什么因素影响我们机构的成功？

在机构与整体模式的核心为经营流程。这些流程应有很强的控制能力。围绕着流程的是GRC的运作模式，包括治理、风险管理与遵循管理，并付诸实施，以驱动企业的保证作业。有4个关键组成要素必须平衡，以使其能保持弹性：风险方面为了解并量化机构所面临的风险；文化与行为方面为在每日的行为中置入风险管理；治理、组织与内部架构方面为监督经营流程及决策制定；企业保证方面为评估、监督与报表控制的有效性。GRC的指引原则为：诚正、纪律、责任、沟通、可课责性、独立、透明。KPMG的GRC整体模式（KPMG's GRC Holistic Model）包括：实施GRC的步骤包括评估现行与想要的状态、设计及建置GRC的架构、实施GRC的架构、维护GRC架构。

在GRC汇合上有三道防线：第一道防线是业务拥有者。关键职责包括管理、遵循、实施（业务单位/流程拥有者、战略规划、权限管理/技术支持）。第二道防线是准则制定者。关键职责包括建立政策、提供战略连结、指引&协调、辨识企业趋势（风险管理、财务报表、SOX、法令、遵循、隐私权、采购/供应商管理）。第三道防线是提供保证者。关键职责包括联系高层管理人员与董事会、合理化的报表、提供监督与保证（内部控制）。

三、GRC背景下内部控制工作的开展

（一）扮演的角色

GRC可确保已置入适当的控制以处理相关风险、可确定控制运作的有效性、可确定有效率的使用资源及GRC系统的响应、提供董事会及高层管理人员有关GRC系统的效果与高绩效。而内部控制在GRC的角色在于：参与GRC系统的设计，以确保其可衡量性（你只能衡量可衡量的事项），包括为了其有效性、为了高成效的价值两个方面；协助选择与风险及控制结合的指标，包括考虑风险的优先级、考虑各项对其他项的关系、考虑发现事项的行动能力三个方面；对控制的制订提出建议；执行定期评估，包括GRC系统设计的有效性、GRC系统运作的有效性两个方面；支持取得GRC系统的认证。

（二）工作要素与运作实务

GRC系统含有8个整合要素与8个普遍成果。8个整合要素为：组织与监督、文化与内涵、评估与结合、预防与促进、监督与识别、响应与解决、信息与整合、监控与衡量。8各普遍成果包括：达成企业目标；提升组织文化；增进利益相关者信心；预备与保护组织；预防、监督与减少灾难；激励期望的行为；促进回应与效率；最合适的经济与社会价值。8项整合要素的运作实务分别如下。

第一，组织与监督。包括：决定是否就企业整体实施GRC系统，或分阶段实施；制定GRC系统可衡量的目标、指针、门坎与可容忍度；决定系统各关键层面应负责的角色，并通过赋予决策权与资源，使其能运作；辨识每个角色需要独立、透明的特定层面。

第二，文化与内涵。包括：定义现有的内部与外部的内涵，这又具体涵盖辨识会影响组织达成目标的因素与事件、辨识利益相关者及其意见的影响；了解现有文化，这又具体涵盖分析道德文化与领导人员、分析风险文化、分析治理文化与管理风格；建立价值与目标，这又具体涵盖定义并取得对使命与价值的承诺、定义一组平衡的领先与落后指标，以协助管理人员了解组织是否在所定义的容忍度范围内达成目标。endprint

第三，评估与结合。包括：辨识可能影响目标达成的因素，这又具体涵盖内部与外部因素的变更所导致的风险、因不正直或未遵循规则所导致的风险、流程与技术的不适当或疏忽、组织与员工的风险倾向及其相互间的关系；建立现行的风险类型，这又具体涵盖分析组织固有弱点与现行方式，将风险与剩余风险水平最适化、评估现行最适化活动的效果、效率与回应速度，确保能建立最优先者；决定最适化的风险，这又具体涵盖制订风险指标，以期能在关键风险事件发生或潜在发生时告知管理人员、考虑到机会以巩固并置入活动。

第四，预防与促进。主要是促进并鼓励想要的行为，预防不想要的事件或活动，混合使用控制和激励，包括行为准则、政策、预防性控制（技术、流程、实体、人员）、认知与教育、人力资本激励、理财/保险、利益相关者的关系/需求。

第五，监督与识别。包括：建立热线，以及取得员工与利益相关者意见的方法；建立流程的控制活动与程序，以监督有害事件、未遵循与错误行为；使用一份工作考核检察表，对于GRC系统的有效性，询问有关观察到的或怀疑的错误行为与想法；监控监督技术的控制指标，以辨识实际或潜在的未遵循与错误行为。

第六，响应与解决。包括：制定程序以调查遵循或道德问题；依照所建置的层级规则，与适当的管理人员、监督体系及其它利益相关者沟通结果与建议；建立改正的技术控制，使能终止、减缓或从有害事件中复原，并使未来不至于发生；建立监督机制及负责的部门，以确保改正的控制活动被执行。

第七，信息与整合。包括：辨识与管理GRC信息的定义与程序；收集、存取及使用GRC信息的政策与程序，这又具体涵盖存取控制是许多风险与规定的关键、数据的安全与隐私应予考虑；符合规定与复原目标，在延伸企业中储存GRC信息的政策与程序；管理非正式GRC相关沟通的计划；用来与现有技术投资整合的技术架构。

第八，监控与衡量。包括：持续监控改变，其可能对组织有直接、间接或累积的影响；按照所辨识的规定或关键风险，计划定期再评估GRC系统的设计，这又具体涵盖基于规定或风险的改变及辨识所需要的改变、分析最佳风险活动的潜在失败以及所使用方法的可能失败；按照设计，定期评估GRC系统的运作。

参考文献：

[1]曹路.国有企业母子公司有效管控体系的探讨[J].经济师，2008

[2]许丹，张记朋.基于集团管控框架的财务管控模式研究[J].现代经济信息，2011

[3]张建军.浅谈集团财务管控体系建设[J].经济研究导刊.2009endprint